Poufność wysyłanych wiadomości to jeden z filarów cyberbezpieczeństwa. Niestety, jak to w przypadku urządzeń elektronicznych bywa, zawsze jest szansa na przełamanie zabezpieczeń. Tym razem padło na OnePlusa.
Jak wygląda problem OnePlusa i których urządzeń dotyczy?
Okazuje się, że winowajcą jest aplikacja „Telefon” powiązana z Androidem. W dużym skrócie umożliwia ona dostęp zainstalowanemu oprogramowaniu do danych SMS-owych bez jakiejkolwiek zgody, interakcji lub wiedzy użytkownika. Luka została wykryta przez zespół Rapid7.
Członkom grupy udało się sprawdzić błąd na dwóch urządzeniach, OnePlus 8T i OnePlus 10 Pro 5G. Ze względu na to, że problem dotyczy kluczowego komponentu systemu Android, należy wykluczyć w tym winę po stronie sprzętu. Urządzenia uruchomiono na OxygenOS w wersji 12, OxygenOS 14 oraz OxygenOS 15, gdzie wykryto lukę. W przypadku OxygenOS 11, bazującego na Androidzie 11, nie wykryto możliwości dostępu do danych. Oznacza to, że problem z zabezpieczeniami dotyczy urządzeń z 2021 roku i nowszych, zaktualizowanych do OxygenOS 12 i wyżej.
Rapid7 próbowało skontaktować się z OnePlusem, aby przedyskutować problem, jednak spotkanie nie doszło do skutku. Po wykluczeniu skorzystania z programu z wyszukiwaniem błędów z powodu restrykcyjnej umowy o zachowaniu poufności zespół zdecydował się na publikację odkrycia na blogu w poniedziałek 22 września. Odpowiedź ze strony firmy nadeszła w środę 24 września.
Jesteśmy świadomi ujawnienia luki CVE-2025-10184 i przygotowaliśmy łatkę. Zostanie ona udostępniona globalnie poprzez aktualizację oprogramowania w połowie października. OnePlus pozostaje zaangażowane w ochronę danych użytkowników i priorytetyzuje poprawki związane z bezpieczeństwa. Odpowiedź rzecznika OnePlus dla serwisu 9to5Google
Co właściciele OnePlusów powinni zrobić?
Dopóki łatka nie pojawi się za kilka tygodni, Rapid7 rekomenduje instalowanie aplikacji wyłącznie z zaufanych źródeł, odinstalowanie niepotrzebnego oprogramowania, zmianę aplikacji do SMS-owania na komunikator z szyfrowaniem treści oraz wykorzystywanie aplikacja do weryfikacji zamiast uwierzytelniania dwuetapowego opartego na SMS-ach.
Przypominam, że problem dotyczy urządzeń z nakładką OxygenOS 12 lub nowszą – oznacza to, że zagrożone są modele z flagowej serii zaczynając od OnePlus 8, który zatrzymał się właśnie na „dwunastce” czy cała seria OnePlus Nord, w tym Nord CE.
